Agresivní aplikace měly před dvaceti lety podobu například spořičů obrazovky, které v době své aktivace (= v době nečinnosti uživatele počítače) napadly třeba odesílatele spamu. Buď podle svého vlastního algoritmu, na přání uživatele nebo podle nějakého z webu získaného seznamu.
Zjednodušeně by se také dalo říci, že jsme se z obránců díky nim stávali útočníky.
Tyto aplikace rychle dosáhly velké obliby a k vidění byly nejen u domácích uživatelů, ale i v mnoha firmách (a ve vzácných případech dokonce i ve státních organizacích), které je braly jako „levnou bezpečnost“.
Navíc panovalo přesvědčení, že když na útočníky společně zatlačíme, tak je zničíme. Jenže stejně rychle, jako se objevily, tak i tyto aplikace zmizely.
Jejich slabé stránky jsou nabíledni – takže jen stručně. V první řadě byly absurdní: atakovat někoho, kdo využívá např. DoS útok, znamenalo, že jsme mu pomáhali palebnou sílu znásobit. Kdepak bylo psáno, že úder vracíme skutečnému útočníkovi, a ne podstrčené IP adrese?
Dalším problémem je právní rámec takovéhoto konání, protože podobný útok je zcela jistě „nepřiměřenou obranou“. Bezpečnostní firmy pak nerozlišovaly motivaci útočníka: na blacklistech nebo seznamech nedůvěryhodných subjektů končili útočníci i jejich zuřivě se bránící oběti. Jaké to mělo pro mnoho organizací důsledky, jistě netřeba zdůrazňovat.
V oblasti informační bezpečnosti se ale říká, že všechno už tady někdy v nějaké podobě bylo a že je těžké přijít s něčím skutečně novým a originálním. Staré nápady se tak pouze vracejí v různých modernizovaných podobách.
Moderní háv
Není tedy na čase, aby aplikace pracující stylem „oko za oko, zub za zub“ opět dostaly příležitost?
Pokud si teď klepete na čelo, máte naprostou pravdu: výše popsaná řešení z devadesátých let by pochopitelně dnes natropila více škody než užitku (pokud za užitek nepovažujeme velkou pozornost médií).
Ale co kdyby se tento koncept upravil, aby nepřipomínal divokou éru devadesátých let, nýbrž reflektoval skutečnosti 21. století? Reakce takového systému by musela být jiná, ale hlavně by byla aktivní.
Současné kapacity bezpečnostních systémů jsou proti motivovaným a pokročilým útokům příliš pasivní. I když jejich propagátoři často tvrdí něco jiného, čísla hovoří jasně.
Tradiční model obrany znamená, že od útoku po jeho odhalení uplyne (podle výzkumu Gartneru) průměrně 229 dní. A dalších 32 dní trvá, než jsme schopni vytvořit adekvátní odpověď na průnik. Samozřejmě lze zpochybnit metodiku, ale výstupy od jiných subjektů se příliš neliší: Ponemon Institute tvrdí, že na odhalení je třeba 197 dní, FireEye hovoří o 146 dnech.
Dnes se totiž hlavní důraz klade na prevenci, což je sice dobře, ale hříchem je, že často je to jediný způsob zajištění bezpečnosti. Má přitom silně omezené možnosti odhalení pokročilých útoků, u kterých je na pořadu dne nejtěžší otázka ICT bezpečnosti: „Jak zjistím, že se něco děje?“
Nelze zpochybnit, že jsme pod permanentním útokem – a z toho se dá usoudit, že tedy i ve stavu trvalé kompromitace. Reagovat tak jen na izolované incidenty není příliš šťastné řešení. Je třeba se posunout z „reakce na incidenty“ k „trvalé reakci“.
Zatímco jednorázová reakce zpravidla řeší jeden konkrétní problém, čelíme útokům trvalým. Mnoho z nich přitom představuje „dělostřeleckou přípravu“ nebo prachobyčejnou snahu o odvedení pozornosti.
Adaptive Security Architecture
V takové chvíli se otevírá prostor pro technologii, které je označovaná jako adaptivní bezpečnostní architektura – Adaptive Security Architecture. Jejím cílem je trvale upravovat systém a jeho nastavení, tak aby z hlediska útočníka nepředstavoval statický bod s prakticky neomezeným počtem pokusů o zásah, ale živý organismus aktivně se měnící a pohybující se.
Jeho základem je detekce, která nevyužívá signatury (proč taky, když 75 procent malwaru se použije jen jednou) a naopak pracuje s vícestupňovými virtuálními stroji, které se průběžně „učí“.
Následuje prevence, jež nabízí vícevektorový pohled na celý systém. Dalo by se také hovořit o shromažďování co nejširších dat. Analýza dat pak data agreguje a provádí rekonstrukci řetězců událostí.
Zatímco izolovaná akce se v takovém případě může jevit jako neškodná, v širším kontextu představuje přinejmenším varovně zdvižený prst nebo rovnou jeden střípek ze široké mozaiky útoku. A nakonec je to řešení, které automaticky odhalené hrozby eliminuje a zlepšuje řízení rizik.
Celý proces pak končí ve smyčce. Ovšem ne proto, aby ověřil funkčnost navrženého postupu jako většina soudobých systémů, ale proto, aby znovu hledal možné stopy, příznaky, náznaky – prostě cokoliv, co k běžnému provozu nepatří.
Že jste prakticky všechno výše uvedené už někdy někde slyšeli? To je samozřejmě pravda, ale rozhodně přišel čas na přebalení existujících technologií do nových balíčků. Roky neodhalené průšvihy hovoří jasně o tom, že současné technologie mají své slabiny. A že je čas na radikální akci a vykročení vpřed.
Ostatně, jen o několik řádků výše jsme uvedli, že „všechno už tady někdy v nějaké podobě bylo“…
Tento příspěvek vyšel v Security Worldu 2/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU